Embed Size (px)
Citation preview
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 17 de noviembre de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Americold fue golpeado por un ciberataque de ransomware ...................................................................... 3
Publican hackeo la página web del Gobierno Regional de Amazonas. ......................................................... 4
Malwarebytes está desconectando las impresoras de Windows ................................................................. 5
Suplantan identidad del BBVA ....................................................................................................................... 6
Detección del Troyano de acceso remoto denominado njRAT ..................................................................... 7
Índice alfabético ............................................................................................................................................ 9
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N°227
Fecha: 17-11-2020
Página: 3 de 10
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Americold fue golpeado por un ciberataque de ransomware
Tipo de ataque Ransomware Abreviatura Ransomware
Medios de propagación Correo electrónico, redes sociales, entre otros
Código de familia C Código de subfamilia C09
Clasificación temática familia Código malicioso
Descripción
1. El 17 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de Americold “El gigante del almacenamiento en frío”, se enfrenta actualmente a un ciberataque que afecta sus operaciones, incluidos los sistemas telefónicos, el correo electrónico, la gestión de inventario y el cumplimiento de pedidos.
2. Americold es un operador líder de almacenes con temperatura controlada que ofrece servicios de cadena de suministro y gestión de inventario para minoristas, proveedores de servicios de alimentos y productores, administra 183 almacenes en todo el mundo y tiene aproximadamente 13,000 empleados.
3. Esta empresa fue golpeada con un ciberataque que los llevó a apagar sus sistemas informáticos para evitar la propagación del ataque, como medida de precaución, la Compañía tomó medidas inmediatas para ayudar a contener el incidente e implementó planes de continuidad, para las operaciones en curso, así como también la Compañía ha notificado y está trabajando en estrecha colaboración con las fuerzas del orden, los expertos en ciberseguridad y los asesores legales".
4. La seguridad, en todas sus formas, sigue siendo una prioridad máxima en Americold, y la Compañía continuará buscando tomar todas las medidas apropiadas para salvaguardar aún más la integridad de su infraestructura de tecnología de la información, datos e información del cliente.
5. El ataque ha afectado a numerosos sistemas, incluidos el teléfono, el correo electrónico, el cumplimiento de pedidos y la gestión de inventario. Los clientes que han intentado recoger el inventario para la entrega no han podido acceder a los almacenes
6. No se ha proporcionado oficialmente detalles sobre el ataque, pero numerosas fuentes mencionan que fue un ataque de ransomware. En este momento, se desconoce la operación de ransomware detrás del ataque.
7. Con las vacunas COVID-19 preparándose para la aprobación y distribución de la FDA, serán necesarias instalaciones de almacenamiento en frío para el almacenamiento a largo plazo. El sitio web de la industria aeroportuaria, Air Cargo World, ha informado que el Aeropuerto Rockford de Chicago busca asociarse con Americold para almacenar vacunas listas para su distribución.
8. Se recomienda:
No hagas clic en enlaces no verificados
No abras archivos adjuntos de correos electrónicos que no sean de confianza
Descarga solo desde sitios en los que confías
Evita proporcionar datos personales
Nunca utilices dispositivos USB desconocidos
Fuentes de información hxxps://www.bleepingcomputer.com/news/security/cold-storage-giant-americold-hit-by-cyberattack-services-impacted/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N°227
Fecha: 17-11-2020
Página: 4 de 10
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Publican hackeo la página web del Gobierno Regional de Amazonas.
Tipo de ataque Comunicación a servidor Abreviatura C&C
Medios de propagación Red, internet, redes sociales.
Código de familia C Código de subfamilia C04
Clasificación temática familia Código malicioso
Descripción
1. El 17 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por el usuario “Chalecos Amarillos” de la red social (Twitter), quien publica que anonymous hackea la intranet del Gobierno Regional de Amazonas.
2. Se observa, al ingresar a la página web (hxxp://www.regionamazonas.gob.pe/sede/intranet/archivos/), nos muestra que la página tiene un Error 404 - No Encontrado. La URL solicitada / sede / intranet / archivos / no se encontró en este servidor.
3. Se recomienda:
Monitorear constantemente la disponibilidad de los sitios web.
Implementar medidas de seguridad.
Encriptar información sensible.
Fuentes de información Medios OSINT.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N°227
Fecha: 17-11-2020
Página: 5 de 10
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Malwarebytes está desconectando las impresoras de Windows
Tipo de ataque Interrupción de servicios tecnológicos Abreviatura IntServTec
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia F Código de subfamilia F02
Clasificación temática familia Disponibilidad del Servicio
Descripción
1. El 17 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 14 de noviembre de 2020 por Bllepingcomputer, se ha descubierto que Malwarebytes está desconectando las impresoras de Windows.
2. Malwarebytes antimalware es un software antimalware para Microsoft Windows, macOS y Android que detecta y elimina el malware. Fabricado por Malwarebytes Corporation, se lanzó por primera vez en enero de 2006.
3. Durante las últimas semanas, los usuarios comerciales y de consumo de Malwarebytes se han quejado de que sus impresoras de red de Windows siguen siendo desconectadas. Este problema comenzó alrededor del 20 de octubre, cuando una actualización provocó que el software de seguridad bloqueara las impresoras de red de Windows. Cuando está bloqueada, la impresora se mostrará como fuera de línea, como se muestra a continuación.
4. Para resolver el problema, los usuarios descubrieron que pueden realizar una de las siguientes acciones:
Salga de Malwarebytes antes de imprimir.
Desactive SNMP en el puerto de la impresora.
Desactivar la protección web Malwarebytes.
5. Por ahora, si no está administrando sus impresoras a través de SNMP o puede vivir sin él temporalmente, puede deshabilitar SNMP en sus impresoras de Windows, Una vez que SNMP esté deshabilitado, su impresora debería volver a estar en línea.
6. Se recomienda:
Para la versión para consumidores de Malwarebytes, se está probando una solución en la versión beta 4.2.3.96 con el paquete de componentes 1.0.1112. Los usuarios pueden instalar la versión Beta yendo a la Configuración de Malwarebytes > General y habilitando la configuración ' Actualizaciones Beta '.
Los clientes comerciales de Malwarebytes Endpoint Protection tendrán que esperar más, ya que la solución beta no está disponible. Malwarebytes espera tenerlo pronto disponible para usuarios comerciales.
Fuentes de información hxxps://www.bleepingcomputer.com/news/software/malwarebytes-is-kicking-windows-printers-offline/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N°227
Fecha: 17-11-2020
Página: 6 de 10
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Suplantan identidad del BBVA Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia G Código de sub-familia G02 Clasificación temática familia Fraude
Descripción
1. El 17 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó la circulación de mensajes de texto (SMS) que suplantan la identidad del Banco Bilbao Vizcaya Argentaria (BBVA), donde informa al usuario que “por falta de actualización su cuenta se encuentra bloqueada, active actualizando su token digital aquí: hxxps://cutt.ly/0gBDIHQ”. Al ingresar a dicho enlace, solicita al usuario iniciar sesión para acceder a su plataforma bancaria y actualizar sus datos, con la finalidad de robar sus datos personales y credenciales de su cuenta bancaria.
2. Recomendaciones:
Evitar ingresar a enlaces no confiables.
Evitar descargar y abrir archivos de fuentes no confiables.
Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 227
Fecha: 17-11-2020
Página: 7 de 10
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Detección del Troyano de acceso remoto denominado njRAT
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C01
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
El 17 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “Any Run”, se informa sobre la detección del Troyano de acceso remoto denominado njRAT, también llamado Bladabindi y Njw0rm, que al ser ejecutado infecta la PC de la víctima y toma el control de forma remota de las máquinas comprometidas. njRAT, permite a los actores de la amenaza activar la cámara web, registrar pulsaciones de teclas y robar contraseñas de navegadores web, así como de múltiples aplicaciones de escritorio.
2. Detalles:
El Troyano njRAT, se propaga de la siguiente manera:
o A través de un sitio web comprometido que engañó a los usuarios para que descargaran una actualización falsa del producto de Adobe que a su vez instala njRAT en la PC de la víctima.
o A través de campañas de correo electrónico no deseado, adjuntado de un archivo adjunto malicioso.
o A través de grietas y generadores de claves en software conocido para engañar a los usuarios.
El Troyano, al ejecutarse con éxito también da acceso a los actores de la amenaza a la línea de comandos de la máquina infectada, permitiendo matar procesos, así como ejecutar y manipular archivos de forma remota. Además de eso. njRAT es capaz de manipular el registro del sistema cuando está infectado. Bladabindi recopilará varios bits de información sobre la PC de la víctima, incluido el nombre de la computadora, el número de sistema operativo, el país de la computadora, los nombres de usuario y la versión del sistema.
Además, el Troyano njRAT apunta a aplicaciones de billetera de criptomonedas, a fin de robar criptomonedas de la PC de la víctima y obtener bitcoins e incluso acceder a la información confidencial de la tarjeta de crédito que a veces se puede almacenar en aplicaciones de cifrado como un medio para comprar criptomonedas.
Imagen: Proceso de infección de Troyano njRAT.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Indicadores de compromiso.
o Archivos analizados: Nombre: myfile.exe Tipo: Win32 DLL Tamaño: 273.50 KB (280064 bytes) MD5: 0814356cb0964ceb42e48c1c044ea937 SHA-1: c8ef44ec7374b12a071591f56f5070e62afef897 SHA-256: 26210c134b3e2132236dc8db2d9876c71555ba4898e49675b523805d943375a7
Nombre: w.exe Tipo: Win32 EXE Tamaño: 24.00 KB (24576 bytes) MD5: 8ddac0d7b9dccb58b8fda75d9ebfddfc SHA-1: 40b75ed6cc5aa7ba622c27d0662a821d7c9dee09 SHA-256: 4e7b315fcde10d75e0c41b0d4897069d55165b11aacd4ed92cd3657002ada646
3. Recomendaciones
Instala un software antivirus.
Hacer copias de seguridad periódicas
No navegar por internet estando logueado como administrador
Siempre ten presente que los ciberdelincuentes, quieren obtener siempre tus datos personales.
Fuentes de información hxxps://any.run/malware-trends/njrat
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 9 de 10
Índice alfabético
Código malicioso ...................................................................................................................................................... 3, 5, 11 Comunicación a servidor ................................................................................................................................................... 5 Correo electrónico ............................................................................................................................................................. 3 Correo electrónico, redes sociales, entre otros ................................................................................................................ 3 Fraude ................................................................................................................................................................................ 9 hxxp ................................................................................................................................................................................... 5 internet ............................................................................................................................................................................ 12 Interrupción de servicios tecnológicos .............................................................................................................................. 7 malware ....................................................................................................................................................................... 7, 12 Phishing ............................................................................................................................................................................. 9 puerto ................................................................................................................................................................................ 7 ransomware ....................................................................................................................................................................... 3 Ransomware ...................................................................................................................................................................... 3 Red, internet ...................................................................................................................................................................... 5 Red, internet, redes sociales ............................................................................................................................................. 5 redes sociales ..................................................................................................................................................................... 1 Redes sociales .................................................................................................................................................................... 9 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ........................................................................ 9 servidor .............................................................................................................................................................................. 5 software ......................................................................................................................................................... 7, 8, 9, 11, 12 Troyanos .......................................................................................................................................................................... 11 URL ..................................................................................................................................................................................... 5 USB, disco, red, correo, navegación de internet ......................................................................................................... 7, 11
